במאמר הזה מוסבר איך להשתמש בניהול זהויות והרשאות גישה (IAM) כדי לנהל את בקרת הגישה למשאבים של Dataplex Universal Catalog. מערכת IAM שולטת בגישה למשאבים של Dataplex Universal Catalog ברמת המשאב. Google Cloud באמצעות Google Cloud המסוף, Google Cloud CLI, ספריות לקוח או ממשקי API, אפשר לקבוע אילו ישויות יכולות לנהל משאבים ספציפיים, כמו קבוצות רשומות ורשומות.
למידע נוסף על IAM, אפשר לעיין במסמכי התיעוד של IAM.
סקירה כללית על IAM
כשיוצרים פרויקט חדש של Google Cloud , יוצר הפרויקט המקורי מקבל את התפקיד 'בעלים'. יכול להיות שקיימים או ייווצרו חשבונות שירות אחרים שמנוהלים על ידי Google כשתפעילו API כדי לבצע משימות ספציפיות. עם זאת, לאף משתמש פרטי אחר אין גישה לפרויקט ולמשאבים שלו, כולל משאבים של Dataplex Universal Catalog. הגישה הזו ניתנת רק כשמוסיפים משתמשים באופן מפורש כחברים בפרויקט או כשנותנים להם תפקידים במשאבים ספציפיים.
בעזרת IAM תוכלו לתת גישה פרטנית למשאבים ב- Google Cloudולמנוע גישה למשאבים אחרים. בעזרת IAM אתם יכולים לשמור על עקרון האבטחה של הרשאות מינימליות, וכך לתת למי שצריך רק את רמת הגישה הדרושה למשאבים השונים.
בעזרת IAM תוכלו לקבוע למי (חשבונות משתמשים) יש איזו גישה (תפקידים) לאילו משאבים.
חשבון משתמש
חשבון משתמש יכול להיות חשבון Google (למשתמשי קצה), חשבון שירות (לאפליקציות ולמכונות וירטואליות), קבוצה ב-Google, חשבון Google Workspace או דומיין ב-Cloud Identity. למשתמשים האלה יש גישה למשאב. כשמעניקים תפקידים, צריך לזהות את חשבון המשתמש באמצעות מזהה, כמו שמתואר במאמר הפניה לקישור מדיניות.
מידע נוסף זמין במאמר סקירה כללית על IAM: חשבונות משתמשים.
סוכן השירות של Dataplex Universal Catalog
Dataplex Universal Catalog משתמש בחשבון שירות מנוהל, סוכן שירות, כדי לגשת למשאבים שלכם. Google Cloud סוכני שירות הם חשבונות שירות שמנוהלים על ידי Google ומאפשרים לשירותים לגשת למשאבים בפרויקט שלכם. Google Cloud זה שונה מחשבונות שירות בניהול המשתמשים, שאתם יוצרים ומשתמשים בהם כדי לייצג את האפליקציות או עומסי העבודה שלכם.
סוכן השירות של Dataplex Universal Catalog נוצר כשמפעילים את Dataplex API. אפשר לזהות את סוכן השירות לפי כתובת האימייל שלו:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
כאן, CUSTOMER_PROJECT_NUMBER הוא מספר הפרויקט שבו הפעלתם את Dataplex API.
סוכן השירות של Dataplex Universal Catalog צריך את התפקיד Dataplex Service Agent (roles/dataplex.serviceAgent) בפרויקט כדי לנהל משאבים של Dataplex Universal Catalog. כשמפעילים את ה-API, המערכת מעניקה את התפקיד הזה באופן אוטומטי. אם מבטלים את התפקיד הזה, יכול להיות ש-Dataplex Universal Catalog לא יפעל כמו שצריך.
אם Dataplex Universal Catalog צריך לגשת למשאבים בפרויקטים אחרים (לדוגמה, קטגוריות של Cloud Storage או מערכי נתונים ב-BigQuery שרוצים לצרף כנכסים או לסרוק כדי ליצור פרופילים של נתונים), צריך להעניק לסוכן השירות הזה את ההרשאות הנדרשות בפרויקטים שמכילים את המשאבים האלה.
מידע נוסף על מתן הרשאות לסוכן השירות לצירוף נכסים זמין במאמר ניהול נכסי נתונים.
מידע נוסף על הענקת הרשאות לסוכן השירות לצורך יצירת פרופיל נתונים זמין במאמר יצירה ושימוש בסריקות של פרופיל נתונים.
משאב
המשאבים שאפשר להעניק להם גישה ב-Dataplex Universal Catalog כוללים פרויקטים, קבוצות רשומות, רשומות, סוגי היבטים וסוגי רשומות.
חלק מהשיטות ב-API דורשות הרשאות למספר משאבים. לדוגמה, כדי לצרף היבט לרשומה, נדרשות הרשאות גם לרשומה וגם לסוג ההיבט.
תפקיד
תפקיד הוא אוסף של הרשאות שקובעות אילו פעולות חשבון משתמש יכול לבצע במשאב. כשנותנים תפקיד לחשבון משתמש, הוא מקבל את כל ההרשאות שהתפקיד מכיל.
אפשר להקצות תפקיד אחד או יותר לישות מורשית.
בדומה למוצרים אחרים של Google Cloud Google, Dataplex Universal Catalog תומך בשלושה סוגים של תפקידים:
תפקידים בסיסיים: תפקידים עם הרבה הרשאות (בעלים, עריכה, צפייה) שהיו קיימים לפני שהוצג IAM. מידע נוסף על תפקידים בסיסיים זמין במאמר תפקידים בסיסיים.
תפקידים מוגדרים מראש: מאפשרים גישה פרטנית למשאבים ספציפיים ב- Google Cloud. מידע נוסף על תפקידים מוגדרים מראש זמין במאמר תפקידים מוגדרים מראש. במאמר בנושא תפקידי IAM ב-Dataplex Universal Catalog מפורטים התפקידים המוגדרים מראש ב-Dataplex Universal Catalog.
תפקידים בהתאמה אישית: עוזרים לאכוף את העיקרון של הרשאות מינימליות על ידי מתן רק ההרשאות הספציפיות שנדרשות. מידע נוסף על תפקידים בהתאמה אישית זמין במאמר תפקידים בהתאמה אישית.
לדוגמה, התפקיד המוגדר מראש Dataplex Viewer (roles/dataplex.viewer) מספק גישת קריאה בלבד למשאבי Dataplex Universal Catalog. משתמש עם התפקיד הזה יכול לראות קבוצות של רשומות, רשומות, סוגי מאפיינים וסוגי רשומות, אבל הוא לא יכול ליצור, לעדכן או למחוק אותם. לעומת זאת, האדמין של Dataplex Universal Catalog (roles/dataplex.admin) מעניק גישה רחבה לניהול משאבים של Dataplex Universal Catalog.
מידע נוסף על הקצאת תפקידים זמין במאמר הענקה, שינוי וביטול של הרשאות גישה.
כדי לדעת אילו הרשאות נדרשות למשימה ספציפית, אפשר לעיין בדפי העיון בנושא תפקידים ב-Dataplex Universal Catalog והרשאות ב-Dataplex Universal Catalog.
לדוגמה, תוכלו להקצות לחשבון Google את התפקיד roles/dataplex.admin במשאב של פרויקט. לאחר מכן, החשבון יוכל לנהל את המשאבים של Dataplex Universal Catalog בפרויקט, אבל לא יוכל לנהל משאבים אחרים. אפשר גם להשתמש ב-IAM כדי לנהל את התפקידים הבסיסיים שניתנו לחברי צוות הפרויקט.
מדיניות IAM למשאבים
מדיניות IAM מאפשרת לכם לנהל תפקידי IAM במשאבים במקום לנהל תפקידים ברמת הפרויקט, או בנוסף לניהול תפקידים ברמת הפרויקט. הגישה הזו מאפשרת גמישות ביישום העיקרון של הרשאות מינימליות, כי אפשר להעניק גישה רק למשאבים הספציפיים שהמשתפים צריכים כדי לבצע את העבודה שלהם.
המשאבים יורשים את המדיניות של משאבי ההורה שלהם. אם מגדירים מדיניות ברמת הפרויקט, היא עוברת בירושה לכל המשאבים הצאצאים. המדיניות בפועל של משאב היא האיחוד של המדיניות שהוגדרה למשאב הזה והמדיניות שעוברת בירושה מרמות גבוהות יותר בהיררכיה. מידע נוסף זמין במאמר היררכיית מדיניות IAM.
אפשר לקבל ולהגדיר מדיניות IAM באמצעות מסוף Google Cloud , Identity and Access Management API או ה-CLI של gcloud.
- במאמר בקרת גישה באמצעות מסוףGoogle Cloud מוסבר איך עושים זאת במסוף Google Cloud .
- למידע על ה-API, אפשר לעיין במאמר בקרת גישה באמצעות ה-API.
- ב-CLI של gcloud, אפשר לקרוא את המאמר בקרת גישה באמצעות CLI של gcloud .